La Datenschutzbehörde (DSB) de Austria es la autoridad supervisora principal para los casos presentados por NOYB — None of Your Business — la organización de defensa de la privacidad fundada por Max Schrems. NOYB ha presentado más de 1,000 quejas estratégicas bajo el GDPR desde 2018, y la DSB ha manejado 422 de ellas en 2022-2024. Entender la aplicación de la DSB significa entender el litigio estratégico que ha reformado la ley de transferencias de datos de la UE en dos ocasiones.
NOYB y la DSB: Un Patrón de Aplicación Estratégica
Schrems I (2015): La queja de Max Schrems sobre las transferencias de datos de Facebook entre la UE y EE. UU. invalidó en última instancia el marco de Safe Harbor utilizado por más de 4,000 empresas.
Schrems II (2020): El desafío de seguimiento de Schrems invalidó el Privacy Shield entre la UE y EE. UU., afectando a más de 5,000 empresas y provocando una renegociación de emergencia que resultó en el actual Marco de Privacidad de Datos entre la UE y EE. UU. (2023).
Schrems III anticipado (2025-2026): NOYB ha presentado desafíos a la decisión de adecuación del DPF, argumentando que la Sección 702 de FISA sigue siendo incompatible con el GDPR. Se anticipa una remisión al CJEU.
El 78% de los casos de aplicación de la DSB involucran transferencias de datos o integraciones de terceros — este enfoque centrado en la transferencia es la característica definitoria de la aplicación austriaca.
La Decisión de Google Analytics de la DSB
La decisión de Google Analytics de la DSB en enero de 2022 estableció el patrón para toda la aplicación de transferencias subsiguiente:
- Las direcciones IP son datos personales. Incluso las IP truncadas combinadas con datos de sesión permiten la reidentificación en la base de datos de Google.
- Acceso de proveedores de EE. UU. = transferencia. Cuando los ingenieros de EE. UU. pueden acceder a datos de usuarios de la UE (para soporte, mantenimiento o compulsión legal), ese acceso constituye una transferencia de datos bajo el GDPR.
- SCC sin TIA adecuada = violación. Las Cláusulas Contractuales Estándar sin una Evaluación de Impacto de Transferencia que demuestre que la ley de vigilancia de EE. UU. no las anula son insuficientes.
La DSB encontró que el operador del sitio web austriaco — no Google — era el controlador de datos responsable de la transferencia ilegal. Este principio afecta a cada negocio de la UE que incorpora scripts de terceros.
Medidas Técnicas Suplementarias: Lo Que Realmente Funciona
Después de Schrems II, el EDPB emitió orientación sobre las medidas técnicas suplementarias requeridas cuando las SCC por sí solas son insuficientes. La DSB aplica esta orientación:
Cifrado con claves mantenidas en la UE: Si los datos personales de la UE se cifran antes de la transferencia a EE. UU., y las claves de descifrado son mantenidas exclusivamente por titulares de claves en la UE, los datos son efectivamente anónimos para fines de transferencia bajo el GDPR — las autoridades de EE. UU. no pueden obligar el acceso a datos que no pueden leer.
Pseudonimización antes de la transferencia: Si los datos transferidos contienen solo identificadores seudónimos (clave de reidentificación mantenida en la UE), los datos transferidos no son "datos personales" para la transferencia.
Procesamiento local: Los datos que nunca salen de la infraestructura alojada en la UE evitan completamente los requisitos de transferencia. Solo se transfieren estadísticas agregadas y verdaderamente anonimizadas.
La DSB ha encontrado que las organizaciones que utilizan proveedores de SaaS de EE. UU. para el procesamiento de datos personales de la UE deben implementar estas medidas o demostrar que los datos están genuinamente anonimizados.
El Riesgo de Schrems III para las Organizaciones que Utilizan Proveedores de EE. UU.
Las organizaciones que dependen únicamente del Marco de Privacidad de Datos entre la UE y EE. UU. (DPF) para las transferencias de datos a EE. UU. enfrentan un riesgo específico: si el desafío de NOYB ante el CJEU tiene éxito — como ocurrió con Safe Harbor (2015) y Privacy Shield (2020) — las organizaciones deben apresurarse inmediatamente a buscar mecanismos de transferencia alternativos.
Las organizaciones que utilizan medidas técnicas suplementarias (cifrado con claves mantenidas en la UE, genuina anonimizacion antes de la transferencia) están protegidas del riesgo de invalidación del DPF. La transferencia técnicamente no ocurre si los datos están genuinamente anonimizados o cifrados con claves a las que el proveedor de EE. UU. no puede acceder.
Para las operaciones austriacas específicamente: análisis de sitios web que utilizan herramientas de EE. UU. (Google Analytics, Mixpanel, Amplitude), sistemas CRM con empresas matrices de EE. UU. (Salesforce, HubSpot), e infraestructura en la nube con acceso administrativo accesible desde EE. UU. crean exposición a la aplicación de la DSB. La mitigación consiste en garantizar que los datos personales en estos sistemas estén verdaderamente anonimizados antes de llegar a los sistemas del proveedor, o cifrados con claves mantenidas exclusivamente por el controlador de la UE.
Fuentes: